Für Admins: Microsoft stellt Windows-7-Updates auf SHA-2-Signierung um

Inhaltsverzeichnis

Im Jahr 2019 kappt Microsoft die SHA-1-Signierung von Update-Paketen für Windows 7 / Windows Server 2008/R2 und stellt auf SHA-2 um. Administratoren der betroffenen Plattformen sollten dies im Auge behalten.

Update-Signierung mit SHA1 und SHA2

Microsoft versah bisher Update-Pakete für Windows jeweils mit einer SHA1- und einer SHA2-Signatur. Diese Signaturen ermöglichen den Update-Clients zu prüfen, ob das Update-Paket von Microsoft stammt und nicht modifiziert wurde. In Windows 7 SP1, Windows Server 2008 SP2 und Windows Server 2008 R2 SP1 wird bisher aber nur die SHA-1-Signatur zur Integritätsprüfung benutzt.

Problem bei diesem Ansatz: Die Codesignierung mit SHA-1 gilt inzwischen als nicht mehr sicher. Denn 2017 gelang es Sicherheitsforschern das SHA-1-Verfahren auszuhebeln, indem zwei verschiedenen Dokumenten ein identischer SHA-1-Hash-Wert zugeordnet wurde (siehe Todesstoß: Forscher zerschmettern SHA-1). Das bedeutet, Angreifer könnten Update-Pakete für Windows 7 und die Server-Pendants abfangen, modifizieren und mit einer vom Update-Client akzeptierten SHA-1-Signatur versehen an die Clients weiterleiten.

Browser-Entwickler haben SHA1 verbannt

Die Entwickler diverser Browser haben daher bereits 2017 reagiert und die Unterstützung für das SHA-1-Signaturverfahren beendet. Seit Januar 2017 sollten Browser eine Fehlermeldung anzeigen, wenn sie auf mit SHA-1 signierte Zertifikate stoßen (siehe Aufgepasst: SHA-1-Zertifikate vor dem endgültigen Aus). Nur firmenspezifische SHA-1-Zertifikate sind noch in Gebrauch.

Microsoft kündigte im November 2018 mit 2019 SHA-2 Code Signing Support requirement for Windows and WSUS das Ende des SHA1-Codesignierung für Windows Update in 2019 an. Dies betrifft die Plattformen:

• Windows 7 Service Pack 1
• Windows Server 2008 R2 Service Pack 1
• Windows Server 2008 Service Pack 2

Die Update-Clients der betreffenden Betriebssysteme müssen im Frühjahr 2019 zwingend die SHA-2-Signatur der Update-Pakete auswerten können, um deren Gültigkeit zu validieren. Fehlt diese Aktualisierung des Update-Clients, können ab einem angegebenen Stichtag keine Updates mehr installiert werden. Das gilt auch für die Update-Verteilung in Unternehmensumgebungen per Windows Server Update Services (WSUS).

Microsofts genauer Fahrplan zur Umstellung

Microsoft hat eine schrittweise Umstellung auf die ausschließliche Signierung mit SHA-2 angekündigt. Hier die betreffenden Termine für die Umstellung der Windows Update-Clients und von WSUS 3.0 SP2:

• Ab Februar 2019 wird die SHA-2-Unterstützung für Stand Alone- und Preview of Monthly Rollup-Updates für die genannten Windows-Versionen eingeführt. Dann wird auch für WSUS 3.0 SP2 ein Update ausgerollt, welches diese Software für die Auswertung von SHA-2-Signaturen ertüchtigt.

• Ab März 2019 enthalten das Monthly Rollup und das Security-only Update eine Unterstützung für die SHA-2-Code-Signierung.

• Ab April 2019 ist die Installation der SHA-2-Code-Signierungsunterstützung für die genannten Windows-Versionen in den Update-Clients verpflichtend.

• Ab Juli 2019 muss WSUS 3.0 SP2 eine SHA-2-Unterstützung installiert haben. Ab diesem Zeitpunkt werden alle Windows-Service-Updates nur noch SHA-2-signiert sein.

Administratoren und Anwender der genannten Windows-Systeme sollten diese Fristen kennen und sicherstellen, das die Windows-Clients und -Server entsprechend vorbereitet sind. Durch den Rollup-Ansatz ist sichergestellt, dass das betreffende Client-Update nur einmalig installiert wird.

Bleibt nur zu hoffen, dass die bereitgestellten Updates keine so gravierenden Fehler enthalten, die Administratoren eine Installation unmöglich machen. Für Windows 8.1 und höher sowie für die entsprechenden Server-Pendants verwendet Microsoft bereits eine SHA-2-Codesignierung, sodass dort keine Aktualisierung der betreffenden Funktionen erforderlich ist. (jk)